新增 SSL 憑證 adding-an-ssl-certificate

了解如何使用 Cloud Manager 的自助服務工具新增您自己的 SSL 憑證。

TIP
提供憑證可能需要幾天時間。因此,Adobe 建議提前準備好憑證。

憑證需求 certificate-requirements

檢閱檔案管理SSL憑證簡介的​ 憑證需求 ​一節,以確定AEM as a Cloud Service支援您要新增的憑證。

正在新增憑證 adding-a-cert

依照以下步驟使用 Cloud Manager 新增憑證。

  1. my.cloudmanager.adobe.com 登入 Cloud Manager,並選取適當的組織。

  2. 在「我的程式」控制台中,選取程式。

  3. 從​ 概觀 ​頁面瀏覽到​ 環境 ​畫面。

  4. 從瀏覽面板按一下​ SSL憑證。 包含任何現有 SSL 憑證詳細資訊的表格會顯示在主畫面上。

    新增 SSL 憑證

  5. 按一下​ 新增SSL憑證 ​以開啟​ 新增SSL憑證 ​對話方塊。

    • 在​ 憑證名稱 ​中輸入憑證名稱。
      • 這僅供參考,可以是任何有助於您輕鬆引用憑證的名稱。
    • 在對應欄位中貼上​ 憑證私人金鑰 ​和​ 憑證鏈 ​值。所有三個欄位都是必填項目。
    • 在某些情況下,終端使用者證書可能會包含在鏈中,並且必須在將鏈貼上到欄位之前將其清除。

    新增憑證對話方塊

    • 會顯示偵測到的任何錯誤。

      • 您必須先解決所有錯誤,然後才能保存您的憑證。
      • 請參閱憑證錯誤章節以了解有關解決常見錯誤的更多資訊。
  6. 按一下​ 儲存 ​來儲存您的憑證。

儲存後,您會看到憑證在表格中顯示為新的一列。

已儲存的 SSL 憑證

NOTE
使用者必須具有​ 業務負責人 ​或​ 部署管理員 ​角色,才能在 Cloud Manager 中安裝 SSL 憑證。
NOTE
如果您收到類似The Subject of an intermediate certificate must match the issuer in the previous certificate. The SKI of an intermediate certificate must match the AKI of the previous certificate.的錯誤,您可能會將使用者端憑證包含在憑證鏈中。 請確定該鏈結不包含使用者端憑證,然後再試一次。

憑證錯誤 certificate-errors

如果憑證未正確安裝或未滿足 Cloud Manager 的要求,可能會出現某些錯誤。

憑證政策 certificate-policy

如果您看到以下錯誤,請檢查您的憑證政策。

Certificate policy must conform with EV or OV, and not DV policy.

通常憑證策略由嵌入的 OID 值標識。將憑證輸出為文字並搜尋 OID 將顯示憑證的策略。

您可以使用以下範例作為指南將您的憑證詳細資訊輸出為文字。

openssl x509 -in 9178c0f58cb8fccc.pem -text
certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            91:78:c0:f5:8c:b8:fc:cc
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = US, ST = Arizona, L = Scottsdale, O = "GoDaddy.com, Inc.", OU = http://certs.godaddy.com/repository/, CN = Go Daddy Secure Certificate Authority - G2
        Validity
            Not Before: Nov 10 22:55:36 2021 GMT
            Not After : Dec  6 15:35:06 2022 GMT
        Subject: C = US, ST = Colorado, L = Denver, O = Alexandra Alwin, CN = adobedigitalimpact.com
        Subject Public Key Info:
...

文字中的 OID 模式定義了憑證的策略類型。

模式
政策
Cloud Manager 中的已接受內容
2.23.140.1.1
EV
2.23.140.1.2.2
OV
2.23.140.1.2.1
DV

透過grepping 輸出憑證文字中的 OID 模式,您可以確認您的憑證策略。

# "EV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.1" -B5

# "OV Policy"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.2" -B5

# "DV Policy - Not Accepted"
openssl x509 -in certificate.pem -text grep "Policy: 2.23.140.1.2.1" -B5

正確的憑證順序 correct-certificate-order

憑證部署失敗的最常見原因是中間憑證或鏈憑證的順序不正確。

中間憑證文件必須以根憑證或最接近根的憑證結尾。它們必須按降序排列main/server憑證到根。

您可以使用以下命令確定中間文件的順序。

openssl crl2pkcs7 -nocrl -certfile $CERT_FILE | openssl pkcs7 -print_certs -noout

您可以驗證私鑰和main/server使用以下命令進行憑證匹配。

openssl x509 -noout -modulus -in certificate.pem | openssl md5
openssl rsa -noout -modulus -in ssl.key | openssl md5
NOTE
這兩個命令的輸出必須完全相同。如果您無法為您的 main/server 憑證找到相符的私密金鑰,您需要透過產生新的 CSR 和/或向您的 SSL 供應商請求更新的憑證來重新加密憑證。

憑證有效期 certificate-validity-dates

Cloud Manager 預計 SSL 憑證從當前日期起至少 90 天內有效。您應該檢查憑證鏈結的有效性。

recommendation-more-help
fbcff2a9-b6fe-4574-b04a-21e75df764ab